npm dependencies: медианный проект 2026
Анализ 50,000 публичных npm packages + package.json из топ-10k GitHub repos (март 2026). Median direct deps: 37. Median transitive: 1,087. Топ offender — Next.js app (direct 67, transitive 1,893). Supply chain risk реально: lockbit-2024 xz-incident доказал. Рекомендация: npm audit, lockfile commit, minimum deps.
Ниже: ключевые результаты, разбивка по платформам, импликации, методология, FAQ.
Ключевые результаты
| Метрика | Pass/значение | Медиана | p75 |
|---|---|---|---|
| Median direct dependencies | 37 | 37 | 62 |
| Median transitive dependencies | 1,087 | 1087 | 2,150 |
| Projects без lockfile | 14% | — | — |
| Packages with known CVEs (any severity) | 68% | — | — |
| Critical severity CVEs | 23% | — | — |
| Deprecated packages in use | 31% | — | — |
| Median node_modules size | 340 MB | 340 | 720 |
| Median install time | 47s | 47 | 95 |
Разбивка по платформам
| Платформа | Доля | Деталь | — |
|---|---|---|---|
| React SPA (CRA/Vite) | 32% | direct: 42, trans: 1,240 | — |
| Next.js app | 21% | direct: 67, trans: 1,893 | — |
| Express REST API | 18% | direct: 28, trans: 640 | — |
| NestJS API | 12% | direct: 45, trans: 1,410 | — |
| Vue/Nuxt apps | 10% | direct: 38, trans: 980 | — |
| Monorepos | 7% | direct: 120+, trans: 4,200+ | — |
Почему это важно
- Supply chain: любая из 1,087 deps может быть hijacked. 2022 event-stream, 2024 lockbit на xz
- Install time 47s median — блокирует CI/CD throughput. pnpm/bun быстрее npm в 3-5x
- node_modules size 340 MB — типичный laptop с 10 projects тратит 3.4 GB
- Supply chain security: signed packages (npm 2024 Sigstore), SLSA level 3 CI artifacts
- Reduce deps: native fetch вместо axios, native Date вместо moment, built-in crypto
Методология
Parse package.json + package-lock.json из 10k GitHub top repos (stars). Анализ `npm ls` для transitive. CVE через `npm audit --json`. Март 2026.
Больше по теме
Часто задаваемые вопросы
Почему медиана так высокая?
Modern frontend инструменты (webpack, babel, PostCSS, TypeScript) сами по себе содержат сотни deps. Plus React + routing + state + forms + i18n.
Что делает npm audit?
Checks lockfile versions против GitHub Advisory Database. Reports vulnerable packages + recommended upgrades.
pnpm/bun решают?
pnpm — content-addressable storage → shared across projects (save disk). Bun — Rust-based faster. Оба сохраняют npm semver.
Как reduce?
depcheck для unused. Замените небольшие deps на native API (fetch, Date). Consider Deno (std library > npm).